The human factor and the importance of Cyber Security Awareness

f you spend some time in analyzing the numbers that have the Internet as a theme, you can immediately see that the billion suffix characterizes each issue or topic related to it, a scenario that will change everything in our traditional approach and in digital culture. 

The number that caught my attention is what Internet users in the world reveal to us, estimated at 3.8 billion out of a world population of 7.5 billion. A number that is growing every year and is connected to the increase in mobility and the number of subscriptions to the data network, mainly LTE. Looking at Ericsson’s latest mobile report, we can see that there is a strong increase in new mobile users and reading between the lines of the report it is also evident that mobile broadband drives the growth of subscriptions in all regions in which new consumers are often acquiring their first experience on the Internet through smartphones. The numbers in the report clearly tell us that mobile devices will constitute the new platform for accessing the network and that the increase in Internet users is closely linked to this growth. 

Going back to the number of the Internet population estimated at 3.8 billion, we can push ourselves into a stronger statement now! Will we have an increasing number of vulnerabilities, something like 3.8 billion? Looking at all the main accidents, the correlation with human errors and the improper use of digital technology seems to be increasingly evident. Maybe the lack of knowledge? As work or systems become more complex, the possibility of human error increases. So, it is no wonder that human error is responsible for over a third of data breaches. 

Digital Transformation and Digital Metamorphosis 

In his latest book, Alec Ross, former Obama and Hillary Clinton adviser, talks about how digital technology can have a boost effect in a country’s economy. Digital transforming every aspect of our life will drastically change the economy, which Ross sums up as follows: “The earth was the raw material for the world based on agriculture, the mineral resources for the industrial one, so big data are the raw material on which the world economy is based and on which it will be increasingly based “. Digital transformation promises to change the face of our companies and all industrial sectors, but being digital requires great changes so simply investing in the latest technologies is not enough. Organizations must seek to design new business scenarios, review operational models, attract and promote digital talent. 

Are we ready for this change? Are we able to measure digital knowledge in our organization? Do we think it is a difficult task to implement? 

In case we had any doubts about this highly prophesied revolution, we could not ignore the fact that all the companies that have fully implemented this process have been successful by improving profitability, productivity by competing and winning even against digital native colleagues. 

A change that requires people and knowledge is not just a matter of Artificial Intelligence or Big Data implementations. In fact, we are now talking more and more about digital metamorphosis, or about all those changes that are not only technological, but invest transformations in our behavior, in our habits and in the set of knowledge necessary to be able to play a decisive role in these processes. This area also includes non-cognitive skills that take on a determined relevance in the new job market. 

The Cyber Theater 

In the promised land of digital we must keep in mind that the scenario is becoming increasingly complex. By 2020 Cisco estimates that 99% of devices will be connected, we are talking about 50 billion devices, and this means that we will find ourselves in a scenario where peripheral nodes will also have computational and data capabilities. All contexts where we can still talk about the perimeter, in which organizing defense is ancient history, the new boundaries are represented by data. 

Let’s try, for example, to do an exercise on the impact that the PSD2 directive had on the financial world. PSD2 stands for Payments Services Directive, the EU Payment Services Directive which, in a nutshell, states that banks do not own the information of their customers, but it is the customer who owns them. 

Result? Banks are providing access, via API, to third parties. The customer can decide whether to provide access to stock brokers, accountants, finance managers or apps and the bank must allow access. Speaking of the App, it means that soon we will be able to use a third party to manage and control our bank account, transfer money and pay. Banks are trying to study strategies and business models to maintain their market, but once again we need a reflection on users. Are we fully prepared for this change? Are we absolutely sure that all users know the real impact in terms of security? The number of Apps downloaded from unofficial markets is significant together with the number of jailbreaked1 or rooted smartphones2. 

Are we completely sure that consumers have a real understanding of the impact that such behavior has on the scenario described above? Certainly banks are applying stronger security measures and PSD2 provides a security framework that increases security measures, but still human behavior and knowledge of digital tools are essential to prevent fraud and damage. 

This scenario will take little time to become more sophisticated, because in the future machines will enter the digital payment process. Machine to Machine (M2M) processes will be the natural evolution of this process which, by simplifying and automating processes, will require the user to have a kind of coding of trust. Will we trust the numbers displayed on the display of our mobile phone how much do we trust the money we have in our wallet today? This is because the new digital contexts will increasingly lead to a currency of 0 and 1, no more banknotes in your pocket. 

This evolution of scenarios and transformation of processes requires a cultural change, a digital mentality that organizations and the government must face, a cultural divide that we must recover as quickly as the steps of technology in recent years. Of course, many complex scenarios will await us in the future digital theater, such as autonomous vehicles, robots and much more in an always connected world. Returning to the present we can already see changes introduced via social networks and mobile. In organizations, we are faced with a growing BYOD (bring your own device) phenomenon that is often underestimated with regards to the security problem. These devices are broadband accesses present in our organizations, with devices where people share business and personal information without, at times, a clear understanding of the potential risk. 

How many users share their location because they have a real need to do so? How many tracking devices send sensitive data and locations to our organizations? How many managers know that a cell phone in a strategic meeting could be dangerous? And we could continue with the cloud and the use we are making of software that, perhaps, are sharing our data with our permission, a permit that many users often ignore given the simplicity with which they accept the installation clauses. 

Human behavior in the digital world 

An interesting reading in this area is John Suler’s book “Psychology of the Digital Age: Humans Become Electric“. Suler is Professor of Psychology at Rider University, internationally recognized as an expert in the emerging field of cyberpsychology. 

In the book, Suler explains that people tend to think of cyberspace as an imaginary place without real borders, a place not to be taken too seriously. By reading the book, you could accomplish something that the labs have already highlighted, people act in cyberspace in a completely different way than they usually use in the physical world. They relax, they feel more uninhibited, they express themselves more openly and the same difference in behavior regards safety issues. 

The researchers called this behavior “disinhibition effect“. Dangerous habit that can cause problems. In this context, people tend to share very personal things, reveal secret emotions, fears, desires and we have seen, in some social engineering attacks, also a password and confidential information. 

Several user studies demonstrate the different perception of risk by users in the digital space. The Felt and Wagner laboratories, for example, have examined user behavior with some apps that make decisions about access to the device and their data. 

The result was that when the actions requested involved financial losses they were more careful, while when the action was reversible the level of defense was lowered. Substantial differences also in the behavior between men, women and age groups; fifty-year-olds, for example, are classified as more at risk than people under 30 years of age. 

Security know how 

As described, we are in a more complex scenario dominated by new technologies in which security must be more than just reflection. We clearly understand that we must shift our attention to defending and securing data wherever it is present, from devices to the cloud. But what about people’s knowledge of the culture of safety. As we wrote above, several studies show that human behavior and the perception of security in the information space are different and often risky. Risky behaviors that cause us problems and increase the exposure of organizations. Due to the complexity and in order to increase cybersecurity skills we need a plan to improve awareness on this issue. 

A training plan that must involve schools, consumers and employees of organizations. Educating young people in schools about the risk and responsible use of digital tools in cyber space will help a nation prepare for the future, with the obvious need to create a talent pipeline, as we know that the skills shortage for organizations is still one of the open problems. 

One of these youth programs has been launched in England where computer security lessons will be offered to children aged 14 and over, an experimental project that offers four-hour-a-week training on this topic. Responsible and safe use of digital tools and network devices is a must for any user, and given that the technological approach is increasingly early, it is good to start the educational path towards awareness starting from school. 

Training and tools must be adapted according to the age and needs of the recipients, it is possible to develop projects and programs aimed at promoting adequate knowledge of the digital world with which children and young people interact; Another excellent example is available online with the code.org initiative, an American non-profit organization. 

Organizations should conduct awareness campaigns involving employees and customers, these programs should focus on encouraging a change in digital behavior both in the office and at home. The goal is for people to be able to understand and follow policies from the organization, prevent and report incidents and contribute to information sharing. 

Conclusions 

Digital transformation requires a secure ecosystem to offer us the maximum benefit. But we must also bridge the cultural divide created by these tools. 

Increasing security measures and building a secure and resilient digital architecture must be a priority for all countries and must be a priority on government agendas. In addition to this, we need a training and awareness-raising plan starting from school: innovation is a path that must be prepared to form the digital DNA of the new generation.